:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/f9/2ff9f5fe75125e324259e4c4cb0470b7/0115708231.jpeg "Cyberangriffe sind nicht immer technischer Natur. Wir geben eine Übersicht der gängigsten nicht-technischen Angriffe sowie passende Schutzmaßnahmen für Unternehmen. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/f5/03f599e672c719f18dc14be45afbd440/0115706811.jpeg "Digitale Identitäten mit höheren Berechtigungen stehen im Mittelpunkt aktueller Angriffswellen durch Hacker. (Bild: robsonphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/28/8728890c1d5094d564bd8a91bb11a1a0/0115706486.jpeg "Eine besonders effektive Methode zur Erzeugung von DNS-Query-Flood-DDoS-Angriffen sind DNS-Water-Torture-Angriffe. (Bild: kmiragaya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/2a/412a1b77c5fcca8d70bdfb5066d48488/0114968713.jpeg "CNP+ nutzt die Stärke von Wi-Fi-6-/7-Access-Points zur Durchführung von Sicherheitsprüfungen, die traditionell von Security-Gateways übernommen werden. (Bild: Zyxel)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sensible Daten gefährdet Bundesbehörden verstoßen gegen Geheimschutzvorgaben
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Der Bundesrechnungshof wirft dem Bundesinnenministerium vor, vertraulicher Daten in Bundesbehörden nicht ausreichend zu schützen. Auch das Bundesamt für Sicherheit in der Informationstechnik kommt dem Bericht zufolge seinen Pflichten nicht nach.
Man benötige in Deutschland schnell in höchstmögliches Schutzniveau, erklärte Bundesinnenministerin Nancy Faeser noch im Sommer in Bezug auf ihre neue Cybersicherheitsagenda. Wie die Prüfer des Bundesrechnungshofes feststellten, nimmt man im Ministerium selbst den Schutz vertraulicher Dokumente jedoch nicht so ernst.
In den „Bemerkungen 2022“ spricht der Bundesrechnungshof von gravierenden Defiziten in der Informationssicherheit der Bundesbehörden. Viele Bundesbehörden hätten ihre Behördennetze nicht ausreichend abgesichert und nicht für sensible, geheimhaltungsbedürftige Daten freigegeben, so die Prüfer. „Gleichwohl sind sie an die ressortübergreifende Kommunikationsinfrastruktur‚Netze des Bundes’ angebunden, über die sie auch solche Daten austauschen.“ Die Prüfer und Prüferinnen des Bundesrechnungshof sehen dadurch „die Vertraulichkeit der Daten und die Sicherheit aller an den Netzen des Bundes teilnehmenden Bundesbehörden“ gefährdet. „80 Prozent der Bundesbehörden missachten wesentliche Pflichten, die sie erfüllen müssen, wenn sie die Netze des Bundes nutzen. Auch verstoßen sie gegen Vorgaben für die Verarbeitung von Verschlusssachen“, heißt es in dem Bericht.
Die Prüfer mahnen daher: „Solange die IT-Sicherheitsmängel in den Bundesbehörden nicht abgestellt sind, verbleiben erhebliche Risiken für den Schutz der Verschlusssachen: Das schwächste Glied in der Kette der an den Netzen des Bundes teilnehmenden Bundesbehörden bestimmt die Sicherheit im gesamten Kommunikationsverbund.“
Strengere Vorgaben für „Dienststellen mit besonderem Geheimschutzbedarf“
Dabei war es das Bundesinnenministerium selbst, das die Vorgaben für „Dienststellen mit besonderem Geheimschutzbedarf“ bereits 2018 novellierte. Diese Vorgaben gelten für insgesamt 18 Bundesbehörden, darunter acht aus dem Geschäftsbereich des BMI, da ihre Verschlusssachen „in besonderem Maße Ziel von Angriffen“ sind und regeln unter anderem wie Verschlusssachen elektronisch zu verarbeiten sind. Gleichzeitig ist vorgesehen, dass sich die betroffenen Behörden alle vier Jahre vom BSI „umfassend beraten und prüfen lassen“.
Dies ist jedoch anscheinend oftmals nicht geschehen: „Einige Bundesbehörden gaben an, dass sie infolge mangelnder Ressourcen beim BSI keine oder keine zeitnahe Geheimschutzberatung erhalten hätten", heißt es in dem Bericht. Entsprechend können diese Behörden auch nicht einschätzen, ob sie ausreichend geschützt sind.
Das bestätigt der BMI auch in der Stellungnahme. Dort heißt es, das BSI habe bei der Geheimschutzberatung und -kontrolle seine Belastungsgrenze überschritten. Beträchtliche Ressourcen seien für Geheimschutzaspekte in verschiedensten Projekten gebunden, daher habe das BSI bereits seit längerer Zeit nicht mehr alle Bundesbehörden beraten können. Jedoch sei von den „Dienststellen mit besonderem Geheimschutzbedarf“ auch lediglich eine einzige an das Bundesamt für Sicherheit in der Informationstechnik herangetreten.
Umsetzungsdefizite beim BMI und BSI
Gleichzeitig kündigte das BMI an, dass BSI künftig in die Lage zu versetzen, seinen gesetzlichen Aufgaben besser nachzukommen – etwa durch eine umfassende Aufgabenkritik und -priorisierung. Darüber hinaus sollen die Freigabeverfahren für Verschlusssachen-IT überprüft und angepasst werden.
Für die Prüfer und Prüferinnen des Bundesrechnungshofes ist daher klar: „Die Mängel bei der Absicherung und der Verschlusssachen-Freigabe der Behördennetze sind nicht Folge eines Erkenntnis-, sondern eines Umsetzungsdefizits. BMI und BSI hatten alle erforderlichen Informationen schon seit längerer Zeit. Sie traten den Verstößen der Bundesbehörden gegen die Geheimschutzvorgaben jedoch nicht wirksam entgegen.“ Und trotz der Ankündigungen des Bundesinnenministeriums bleiben sie der Auffassung, dass die Bundesbehörden ihre Informationssicherheit deutlich steigern müssen. „Nur so lassen sich die Verschlusssachen, die Behördennetze und die Netze des Bundes auch in Zeiten stetig zunehmender Bedrohungen wirksam schützen.“
Die gesamte Bemerkung zum Verstoß der Bundesbehörden gegen Geheimschutzvorgaben können Sie hier lesen:
(ID:48974275)
:quality(80)/p7i.vogel.de/wcms/93/f8/93f8f49addcc4cb5a9e436103aa688ac/0112178284.jpeg "Die Cloud-Plattform ist für Verschlusssachen gedacht (© DNY59, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/c6/8b/c68b3d878f1c5af199d278de802b3e5b/0112879832.jpeg "Über 50 Behörden machen mit und wollen die Frage beantworten: Bleibt der Staat bei einem Hackerangriff auf die Öffentliche Verwaltung handlungsfähig? (© Hailshadow, Getty Images via Canva.com)")